Zugriff auf private Netzwerke mithilfe einer Integration von virtuellen Netzwerken für Azure Database for MySQL – flexibler Server

GILT FÜR: Azure Database for MySQL – Flexibler Server

Dieser Artikel beschreibt die private Konnektivitätsoption für Azure Database for MySQL – Flexibler Server. Sie lernen die virtuellen Netzwerkkonzepte für Azure Database for MySQL – Flexibler Server im Detail kennen, um einen Server sicher in Azure zu erstellen.

Privater Zugriff (Virtual Network-Integration)

Azure Virtual Network) ist der Grundbaustein für Ihr privates Netzwerk in Azure. Die Integration eines virtuellen Netzwerks mit Azure Database for MySQL – Flexibler Server bietet die Vorteile von Azure in Bezug auf Netzwerksicherheit und -isolation.

Die Integration eines virtuellen Netzwerks für eine Instanz von Azure Database for MySQL – Flexibler Server ermöglicht es Ihnen, den Zugriff auf den Server rein auf die Infrastruktur Ihres virtuelle Netzwerks zu beschränken. Ihr virtuelles Netzwerk kann alle Ihre Anwendungs- und Datenbankressourcen in einem einzelnen virtuellen Netzwerk umfassen oder sich über verschiedene Virtual Network-Instanzen in der gleichen oder einer unterschiedlichen Region erstrecken. Nahtlose Konnektivität zwischen verschiedenen virtuellen Netzwerken kann mittels Peering erreicht werden, dabei wird die private Backbone-Infrastruktur von Microsoft verwendet, die sich durch geringe Wartezeit und hohe Bandbreite auszeichnet. Die virtuellen Netzwerke werden für Verbindungszwecke als einzelnes Element angezeigt.

Azure Database for MySQL – Flexibler Server unterstützt Clientkonnektivität von Folgendem:

• Virtuelle Netzwerken innerhalb derselben Azure-Region (virtuelle Netzwerke mit lokalem Peering)
• Virtuelle Netzwerke über Azure-Regionen hinweg (virtuelle Netzwerke mit globalem Peering)

Mithilfe von Subnetzen können Sie das virtuelle Netzwerk in eines oder mehrere Subnetze segmentieren und einen Teil des VNet-Adressraums zuordnen, in dem Sie dann Azure-Ressourcen bereitstellen können. Für Azure Database for MySQL – Flexibler Server ist ein delegiertes Subnetz erforderlich. Ein delegiertes Subnetz ist ein expliziter Bezeichner, der besagt, dass ein Subnetz nur Instanzen von Azure Database for MySQL – Flexibler Server hosten kann. Durch die Delegierung des Subnetzes erhält der Dienst direkte Berechtigungen zur Erstellung dienstspezifischer Ressourcen, um Ihre Instanz von Azure Database for MySQL – Flexibler Server nahtlos zu verwalten.

Hinweis

Der kleinste CIDR-Bereich, den Sie für das Subnetz angeben können, um Azure Database for MySQL – Flexibler Server zu hosten, ist /29, was acht IP-Adressen bereitstellt. Die erste und letzte Adresse in einem Netzwerk oder Subnetz kann jedoch keinem einzelnen Host zugewiesen werden. Azure reserviert fünf IP-Adressen für internen Gebrauch durch Azure-Netzwerke, einschließlich der beiden IP-Adressen, die keinem Host zugewiesen werden können. Dadurch bleiben drei verfügbare IP-Adressen für einen CIDR-Bereich /29 verfügbar. Für Azure Database for MySQL – Flexibler Server ist es erforderlich, eine IP-Adresse pro Knoten aus dem delegierten Subnetz zuzuweisen, wenn der private Zugriff aktiviert ist. Hochverfügbarkeitsfähige Server erfordern zwei IP-Adressen, und ein Nicht-Hochverfügbarkeitsserver erfordert eine IP-Adresse. Es wird empfohlen, mindestens zwei IP-Adressen pro Instanz von Azure Database for MySQL – Flexibler Server zu reservieren, da Hochverfügbarkeitsoptionen später aktiviert werden können. Azure Database for MySQL – Flexibler Server wird in private DNS-Zonen von Azure integriert, um einen zuverlässigen, sicheren DNS-Dienst zum Verwalten und Auflösen von Domänennamen in einem virtuellen Netzwerk zu bieten, ohne dass Sie eine benutzerdefinierte DNS-Lösung hinzufügen müssen. Eine private DNS-Zone kann durch Erstellen virtueller Netzwerkverbindungen mit einem oder mehreren virtuellen Netzwerken verknüpft werden.

Für dieses Diagramm gilt:

1. Instanzen von Azure Database for MySQL – Flexibler Server werden in ein delegiertes Subnetz eingefügt – 10.0.1.0/24 des virtuellen Netzwerks VNet-1.
2. Anwendungen, die in verschiedenen Subnetzen innerhalb desselben virtuellen Netzwerks bereitgestellt werden, können direkt auf Instanzen von Azure Database for MySQL – Flexibler Server zugreifen.
3. Anwendungen, die in einem anderen virtuellen Netzwerk VNet-2 bereitgestellt werden, haben keinen direkten Zugriff auf die Instanzen von Azure Database for MySQL – Flexibler Server. Bevor sie auf eine Instanz zugreifen können, müssen Sie ein Peering virtueller Netzwerke für die private DNS-Zone ausführen.

Virtuelle Netzwerke: Konzepte

Hier finden Sie einige Konzepte, mit denen Sie vertraut sein sollten, wenn Sie virtuelle Netzwerke mit Instanzen von Azure Database for MySQL – Flexibler Server verwenden.

• Virtuelles Netzwerk -

  Ein Azure Virtual Network enthält einen privaten IP-Adressraum, der für Ihre Verwendung konfiguriert ist. Weitere Informationen zu virtuellen Azure-Netzwerken finden Sie unter Überblick über Azure Virtual Network.

  Ihr virtuelles Netzwerk muss sich in derselben Azure-Region wie Ihre Instanz von Azure Database for MySQL – Flexibler Server befinden.

• Delegiertes Subnetz -

  Ein virtuelles Netzwerk enthält Subnetze (untergeordnete Netzwerke). Subnetze bieten Ihnen die Möglichkeit, Ihr virtuelles Netzwerk in kleinere Adressräume einzuteilen. Azure-Ressourcen werden in bestimmten Subnetzen innerhalb eines virtuellen Netzwerks bereitgestellt.

  Ihre Instanz von Azure Database for MySQL – Flexibler Server muss sich in einem Subnetz befinden, das nur für die Verwendung von Azure Database for MySQL – Flexibler Server delegiert ist. Diese Delegierung bedeutet, dass nur Flexible Serverinstanzen von Azure Database for MySQL dieses Subnetz nutzen können. Im delegierten Subnetz können sich keine anderen Azure-Ressourcentypen befinden. Sie können ein Subnetz delegieren, indem Sie „Microsoft.DBforMySQL/flexibleServers“ als Delegierungseigenschaft festlegen.

• Netzwerksicherheitsgruppen (NSGs)

  Mit Sicherheitsregeln in Netzwerksicherheitsgruppen können Sie den Typ des ein- und ausgehenden Netzwerkdatenverkehrs von Subnetzen virtueller Netzwerke und Netzwerkschnittstellen filtern. Weitere Informationen finden Sie unter Netzwerksicherheitsgruppen.

• Integration in private DNS-Zonen

  Mit der Integration privater Azure-DNS-Zonen können Sie das private DNS innerhalb des aktuellen virtuellen Netzwerks oder eines beliebigen regionsinternen virtuellen Netzwerks mit Peering auflösen, in dem die private DNS-Zone verknüpft ist.

• Peering in virtuellen Netzwerken

  Durch das Peering virtueller Netzwerke können Sie zwei oder mehr virtuelle Netzwerke in Azure nahtlos miteinander verbinden. Die peered virtuellen Netzwerke werden für Verbindungszwecke als einzelnes Element angezeigt. Der Datenverkehr zwischen virtuellen Computern in virtuellen Netzwerken mit Peering erfolgt über die Microsoft-Backboneinfrastruktur. Der Datenverkehr zwischen der Clientanwendung und der Instanz von Azure Database for MySQL – Flexibler Server in virtuellen Netzwerken mit Peering wird nur über das private Netzwerk von Microsoft geleitet und ist auf dieses Netzwerk beschränkt.

Verwenden einer privaten DNS-Zone

• Wenn Sie das Azure-Portal oder die Azure-Befehlszeilenschnittstelle verwenden, um Instanzen von Azure Database for MySQL – Flexibler Server mit einem virtuellen Netzwerk zu erstellen, wird eine neue private DNS-Zone mit der Endung mysql.database.azure.com für jeden Server in Ihrem Abonnement unter Verwendung des angegebenen Servernamens automatisch bereitgestellt. Wenn Sie ihre eigene private DNS-Zone mit der Instanz von Azure Database for MySQL – Flexibler Server einrichten möchten, lesen Sie die Informationen in der Dokumentation Was ist privates Azure-DNS?.

• Wenn Sie die Azure-API, eine Azure Resource Manager-Vorlage (ARM-Vorlage) oder Terraform verwenden, erstellen Sie private DNS-Zonen mit der Endung mysql.database.azure.com, und verwenden Sie diese bei der Konfiguration von Azure Database for MySQL – Flexibler Server mit privatem Zugriff. Weitere Informationen finden Sie unter Was ist privates Azure-DNS?.

  Wichtig

  Namen privater DNS-Zonen müssen auf mysql.database.azure.com enden. Wenn Sie eine Verbindung mit einer Instanz von Azure Database for MySQL – Flexibler Server mit SSL herstellen und eine Option zur vollständigen Überprüfung (sslmode=VERIFY_IDENTITY) mit Zertifikatsantragstellernamen verwenden, verwenden Sie „<Servername>.mysql.database.azure.com“ in Ihrer Verbindungszeichenfolge.

Erfahren Sie, wie Sie eine Instanz von Azure Database for MySQL – Flexibler Server mit privatem Zugriff (Integration des virtuellen Netzwerks) im Azure-Portal oder über die Azure-Befehlszeilenschnittstelle erstellen.

Integration mit einem benutzerdefinierten DNS-Server

Wenn Sie den benutzerdefinierten DNS-Server verwenden, müssen Sie eine DNS-Weiterleitung verwenden, um die Instanz von Azure Database for MySQL – Flexibler Server aufzulösen. Die IP-Adresse der Weiterleitung sollte 168.63.129.16 sein. Der benutzerdefinierte DNS-Server sollte sich innerhalb des virtuellen Netzwerks befinden oder über die DNS-Servereinstellung des virtuellen Netzwerks erreichbar sein. Weitere Informationen finden Sie unter Namensauflösung mithilfe Ihres DNS-Servers.

Wichtig

Für eine erfolgreiche Bereitstellung der Instanz von Azure Database for MySQL – Flexibler Server dürfen Sie selbst bei Verwendung eines benutzerdefinierten DNS-Servers den DNS-Verkehr zuAzurePlatformDNS nicht mit NSG blockieren.

Private DNS-Zone und Peering virtueller Netzwerke

Die Einstellungen für private DNS-Zonen und das Peering virtueller Netzwerke sind voneinander unabhängig. Weitere Informationen zum Erstellen und Verwenden von privaten DNS-Zonen finden Sie im Abschnitt Verwenden einer privaten DNS-Zone.

Wenn Sie eine Verbindung mit der Instanz von Azure Database for MySQL – Flexibler Server von einem Client herstellen möchten, der in einem anderen virtuellen Netzwerk aus derselben Region oder einer anderen Region bereitgestellt ist, müssen Sie die privaten DNS-Zone mit dem virtuellen Netzwerk verknüpfen. Weitere Informationen finden Sie in der Dokumentation zum Verknüpfen des virtuellen Netzwerks.

Hinweis

Es können ausschließlich private DNS-Zonen verknüpft werden, deren Namen auf mysql.database.azure.com enden.

Herstellen einer Verbindung zwischen einem lokalen Server und einer Instanz von Azure Database for MySQL – Flexibler Server in einem virtuellen Netzwerk mithilfe von ExpressRoute oder VPN

Für Workloads, die Zugriff auf eine Instanz von Azure Database for MySQL – Flexibler Server in einem virtuellen Netzwerk aus einem lokalen Netzwerk erfordern, benötigen Sie eine ExpressRoute-Instanz oder ein VPN und ein virtuelles Netzwerk, das mit der lokalen Bereitstellung verbunden ist. Bei diesem Setup benötigen Sie eine DNS-Weiterleitung, um den Servernamen der Instanz von Azure Database for MySQL – Flexibler Server aufzulösen, wenn Sie eine Verbindung von Clientanwendungen (wie MySQL Workbench) herstellen möchten, die in lokalen virtuellen Netzwerken ausgeführt werden. Diese DNS-Weiterleitung ist dafür zuständig, alle DNS-Abfragen über eine Weiterleitung auf Serverebene zum von Azure bereitgestellten DNS-Dienst 168.63.129.16 aufzulösen.

Für eine korrekte Konfiguration benötigen Sie die folgenden Ressourcen:

• Ein lokales Netzwerk.
• Eine Instanz von Azure Database for MySQL – Flexibler Server, die mit privatem Zugriff bereitgestellt wird (Integration des virtuellen Netzwerks).
• Ein virtuelles Netzwerk verbunden mit lokalem Standort.
• Eine in Azure bereitgestellte DNS-Weiterleitung 168.63.129.16.

Anschließend können Sie den Servernamen von Azure Database for MySQL – Flexibler Server (FQDN) verwenden, um eine Verbindung von der Clientanwendung im virtuellen Netzwerk mit Peering oder im lokalen Netzwerk mit der Instanz von Azure Database for MySQL – Flexibler Server herzustellen.

Hinweis

Wir empfehlen Ihnen, den vollständig qualifizierten Domänennamen (FQDN) <servername>.mysql.database.azure.com in Verbindungszeichenfolgen zu verwenden, wenn Sie eine Verbindung mit Ihrer Instanz von Azure Database for MySQL – Flexibler Server herstellen. Es ist nicht gewährleistet, dass die IP-Adresse des Servers statisch bleibt. Mithilfe des FQDN können Sie verhindern, dass Änderungen an der Verbindungszeichenfolge vorgenommen werden.

Nicht unterstützte virtuelle Netzwerkszenarios

• Öffentlicher Endpunkt (oder öffentliche IP-Adresse oder DNS) – Eine in einem virtuellen Netzwerk bereitgestellte Instanz von Azure Database for MySQL – Flexibler Server kann keinen öffentlichen Endpunkt haben.
• Nachdem die Instanz von Azure Database for MySQL – Flexibler Server in einem virtuellen Netzwerk und Subnetz bereitgestellt wurde, können Sie diese nicht in ein anderes virtuelles Netzwerk oder Subnetz verschieben. Auch das VNet kann in keine andere Ressourcengruppe oder kein anderes Abonnement verschoben werden.
• Die Konfiguration der privaten DNS-Integration kann nach der Bereitstellung nicht mehr geändert werden.
• Die Subnetzgröße (Adressräume) kann nicht mehr erhöht werden, wenn bereits Ressourcen im Subnetz vorhanden sind.

Wechseln von privatem Zugriff (virtuelles Netzwerk integriert) zu öffentlichem Zugriff oder privater Verbindung

Azure Database for MySQL – Flexibler Server kann von privatem Zugriff (virtuelles Netzwerk integriert) auf öffentlichen Zugriff umgestellt werden, mit der Option zur Verwendung von Private Link. Diese Funktionalität ermöglicht es Servern, nahtlos von „virtuelles Netzwerk integriert“ zu Private Link/öffentlichen Infrastruktur zu wechseln, ohne den Servernamen ändern oder Daten migrieren zu müssen, was den Prozess für Kunden vereinfacht.

Hinweis

Nachdem der Übergang erfolgt ist, kann er nicht rückgängig gemacht werden. Der Übergang umfasst eine Downtime von ca. 5-10 Minuten für Nicht-Hochverfügbarkeitsserver und ca. 20 Minuten für hochverfügbarkeitsfähige Server.

Der Prozess wird im Offlinemodus durchgeführt und besteht aus zwei Schritten:

1. Trennen des Servers von der Infrastruktur des virtuellen Netzwerks.
2. Einrichten einer Private Link-Instanz oder Aktivieren des öffentlichen Zugriffs.

• Ein Leitfaden zum Übergang von einem Netzwerk mit privatem Zugriff zu öffentlichem Zugriff oder Private Link finden Sie unter Wechseln von privatem Zugriff (virtuelles Netzwerk integriert) zu öffentlichem Zugriff oder Private Link mit dem Azure-Portal. Diese Ressource bietet schrittweise Anleitungen zur Unterstützung des Prozesses.

Zugehöriger Inhalt

• Azure portal
• Azure-Befehlszeilenschnittstelle
• Verwenden Sie TLS